[데일리시큐]북한 해커조직 UNC4899, 개발자 위장 구인사기·클라우드 침투로 수백억 원 가상화폐 탈취

내용 요약

북한과 연계된 사이버 조직 UNC4899(별칭: Jade Sleet, Slow Pisces, PUKCHONG, TraderTraitor)가 IT 개발자를 대상으로 LinkedIn과 Telegram을 이용한 소셜 엔지니어링 공격을 통해 수백억 원 규모의 가상화폐를 탈취했습니다. 공격자들은 악성 Docker 컨테이너 실행을 유도하여 시스템에 침투했으며, 이 정황은 Google Cloud의 Cloud Threat Horizons 보고서를 통해 상세히 공개되었습니다.

핵심 포인트

• 북한 연계 사이버 조직 UNC4899의 정교한 공격.
• LinkedIn 및 Telegram을 활용한 IT 개발자 대상 소셜 엔지니어링 공격.
• 악성 Docker 컨테이너를 이용한 기술적 침투 방식.
• 수백억 원 규모의 가상화폐 탈취 목표.

기술 세부 내용

1️⃣ UNC4899 (위협 행위자 프로필)

• 설명: 북한과 연계된 것으로 알려진 고도로 숙련된 사이버 공격 조직입니다. 이들은 국가의 지원을 받아 외화벌이나 정보 탈취 등 다양한 목적의 사이버 작전을 수행하는 것으로 분석됩니다.
• 별칭: 'Jade Sleet', 'Slow Pisces', 'PUKCHONG', 'TraderTraitor'와 같은 다양한 이름으로도 식별됩니다. 이는 조직이 활동을 숨기거나 특정 공격 캠페인에 따라 여러 이름을 사용함을 시사합니다.
• 주요 활동: 주로 가상화폐 관련 기관이나 개인을 표적으로 삼아 금융 자산 탈취를 시도하며, 상당한 자원과 기술력을 보유하여 정교하고 지속적인 공격을 수행하는 특징이 있습니다.
• 이번 사례: IT 개발자들을 대상으로 한 정교한 소셜 엔지니어링 및 기술적 공격(악성 Docker 컨테이너 유도)을 통해 가상화폐를 탈취하는 데 성공했습니다.

2️⃣ Docker & 악성 Docker 컨테이너

• Docker란?
  • 설명: 애플리케이션을 개발, 배포, 실행하는 데 사용되는 오픈 소스 플랫폼입니다.
  • 주요 기능: '컨테이너(Container)'라는 격리된 환경에서 소프트웨어를 패키징하여, 운영체제나 환경에 관계없이 일관된 방식으로 애플리케이션을 실행할 수 있도록 돕습니다. 컨테이너는 애플리케이션과 그에 필요한 모든 종속성(라이브러리, 설정 파일 등)을 포함하여 자체적으로 실행 가능한 패키지를 구성합니다.
  • 장점: 이식성(Portability), 일관성(Consistency), 효율성(Efficiency)이 뛰어나 개발 및 운영(DevOps) 환경에서 서버 애플리케이션 배포 및 관리에 널리 사용됩니다.
• 악성 Docker 컨테이너
  • 설명: 정상적인 Docker 컨테이너처럼 보이지만, 내부에 악성 코드(Malware), 백도어(Backdoor), 정보 탈취 도구 등이 포함되어 있거나, 시스템 접근 권한을 탈취하려는 목적으로 조작된 컨테이너 이미지를 의미합니다.
  • 공격 방식: 공격자는 피해자가 이러한 악성 컨테이너를 자신의 시스템에 다운로드하여 실행하도록 유도합니다. 이는 주로 매력적인 프로젝트 코드, 개발 도구 또는 유틸리티 등으로 위장하여 제공됩니다.
  • 위험성: Docker 컨테이너는 호스트 시스템의 특정 자원에 접근할 수 있는 권한을 가질 수 있으며, 컨테이너 내에서 실행되는 프로세스는 호스트 시스템의 파일 시스템, 네트워크, CPU, 메모리 등에 영향을 미칠 수 있습니다. 따라서 악성 컨테이너가 실행되면 호스트 시스템의 데이터 탈취, 추가 악성 코드 설치, 원격 제어, 시스템 자원 남용 등 심각한 보안 위협으로 이어질 수 있습니다.

3️⃣ 소셜 엔지니어링 (LinkedIn & Telegram 활용)

• 소셜 엔지니어링(Social Engineering)
  • 설명: 기술적인 취약점 대신 사람의 심리적 취약점(호기심, 신뢰, 공포, 긴급성, 조력 의지 등)을 이용하여 정보를 얻거나 특정 행동을 유도하는 공격 기법입니다.
  • 목표: 피해자가 악성 파일을 다운로드하거나, 민감 정보를 제공하거나, 특정 웹사이트에 접속하도록 속여 보안 방어를 우회합니다.
• LinkedIn 활용
  • 설명: 전 세계 전문가들이 비즈니스 네트워킹, 구인/구직, 산업 정보 공유 등을 위해 사용하는 소셜 미디어 플랫폼입니다. ‍
  • 공격 방식: 공격자는 LinkedIn에서 IT 개발자 프로필을 찾아, 매력적인 채용 제안, 가상화폐 프로젝트 협업 제안, 기술 연구 제안 등을 가장하여 접근합니다. 실제 기업의 인사 담당자나 동료 개발자인 것처럼 위장하여 피해자의 신뢰를 얻고 초기 대화의 발판을 마련합니다.
• Telegram 활용
  • 설명: 종단 간 암호화(End-to-End Encryption)를 지원하여 높은 보안성으로 유명한 메시징 앱입니다. 개인 및 그룹 채팅, 파일 공유, 음성/영상 통화 기능 등을 제공합니다.
  • 공격 방식: LinkedIn을 통해 신뢰를 구축한 후, 더욱 은밀하고 빠른 소통을 위한다는 명목으로 Telegram으로 대화를 유도합니다. 이 단계에서 공격에 필요한 악성 파일(예: 악성 Docker 컨테이너 이미지 링크, 악성 스크립트)을 전달하거나, 피해자에게 특정 명령을 실행하도록 지시하는 경우가 많습니다.
  • 위험성: Telegram의 강력한 암호화 기능은 합법적인 사용자에게 보안을 제공하지만, 동시에 공격자에게는 자신의 활동을 숨기고 추적을 어렵게 만드는 수단으로 악용될 수 있습니다. ️‍♀️

4️⃣ 가상화폐 탈취 (Cybercrime Goal)

• 설명: 비트코인(Bitcoin), 이더리움(Ethereum) 등 블록체인 기반의 디지털 자산인 가상화폐를 소유자의 동의 없이 불법적인 방법으로 지갑에서 탈취하는 행위입니다.
• 공격 동기: 가상화폐는 익명성이 높고 국경 간 이동이 쉬우며, 전통적인 금융 시스템의 규제로부터 비교적 자유롭다는 특징이 있습니다. 이러한 특성 때문에 북한과 같은 국가 지원 해킹 그룹의 주요 자금원 조달 수단이나 자금 세탁 도구로 악용됩니다. 대규모 가상화폐 탈취는 해당 국가의 재정 수단으로 활용될 수 있습니다.
• 탈취 방법: 피싱(Phishing), 악성 소프트웨어(Malware) 설치, 가상화폐 거래소 해킹, 개인 지갑 서비스 취약점 공격, 사회 공학적 기법 등 다양한 방법이 사용됩니다. 이번 사례에서는 악성 Docker 컨테이너를 이용한 시스템 침투 후, 피해자의 시스템에 접근하여 가상화폐 관련 정보(예: 지갑 키, 접근 권한)를 탈취하거나 직접 전송하는 방식으로 이루어진 것으로 보입니다.

5️⃣ Cloud Threat Horizons 보고서

• 설명: Google Cloud가 발행하는 정기적인 위협 인텔리전스 보고서로, 사이버 보안 위협 동향, 주요 공격 캠페인 분석, 새로운 공격 기법, 그리고 관련 방어 전략 등에 대한 심층적인 통찰과 정보를 제공합니다.
• 목표: 기업과 조직이 최신 사이버 위협에 효과적으로 대비하고, 보안 전략을 수립하며, 잠재적인 위험을 완화하는 데 필요한 최신 정보를 제공하는 데 있습니다. ️
• 이번 사례에서의 역할: UNC4899 조직의 가상화폐 탈취 정황과 그들의 정교한 공격 방식(소셜 엔지니어링, 악성 Docker 컨테이너 사용 등)에 대한 상세한 분석 내용을 포함하여, 이 조직의 활동과 위협의 심각성을 대중에 알리는 중요한 역할을 했습니다. 이는 다른 조직들이 유사한 공격에 대비할 수 있도록 경고하고 정보를 공유하는 데 기여합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=168511